Router detectando constantes ataques de inundación de ack y escaneos de puertos

1

Lo noté por primera vez ayer en mis registros, mientras estaba configurando la configuración del enrutador, así que no sé cuánto tiempo ha estado pasando. ¿Qué tengo que hacer? Reconfiguré mi enrutador con configuraciones más seguras, cambié mi contraseña y todavía está sucediendo. Así que ahora estoy directamente conectado.

Estaba dormido en este momento, el bit de "éxito de autenticación" me preocupa, mis registros están llenos de ataques de inundación ACK y análisis de paquetes.

Mar 15 15:37:34 Port Scan Attack Detect (ip=31.13.74.1) Packet Dropped
Mar 15 15:37:34 Per-source ACK Flood Attack Detect (ip=184.84.243.224) Packet Dropped
Mar 15 15:35:34 Whole System ACK Flood Attack from WAN Rule:Default deny
Mar 15 15:34:34 Per-source ACK Flood Attack Detect (ip=31.13.74.1) Packet Dropped
Mar 15 15:34:34 Whole System ACK Flood Attack from WAN Rule:Default deny
Mar 15 15:33:34 Per-source ACK Flood Attack Detect (ip=69.16.175.10) Packet Dropped
Mar 15 15:32:54 DHCP lease IP 192.x.x.x to John 0c-xx-xx-xx-xx-xx
Mar 15 15:32:53 Authentication Success 0c-xx-xx-xx-xx-xx
Mar 15 15:32:53 Authenticating...... 0c-8b-xx-xx-xx-xx
Mar 15 13:12:13 DHCP lease IP 192.x.x.x to NP-13C254012390 cc-6d-xx-xx-xx-xx
Mar 15 12:36:13 DHCP request success 192.x.x.x

Realmente agradecería cualquier ayuda.

    
pregunta Calisto 15.03.2015 - 17:52
fuente

1 respuesta

2

Internet es un lugar salvaje; hay toneladas (como en, cientos de miles o incluso millones) de robots script-kiddie que escanean constantemente cada dirección IP en busca de puertos abiertos a los que pueden conectarse o servidores no seguros que pueden explotar. Es muy probable que este sea el tipo de actividad que estás viendo.

Afortunadamente, la gran mayoría de los enrutadores de los consumidores pueden defenderse fácilmente contra estas cosas porque vienen con un servidor de seguridad que, de forma predeterminada, bloqueará todas las conexiones entrantes y solo permitirá las conexiones salientes. Parece que el tuyo también, basado en el WAN Rule:Default deny que aparece en el fragmento que publicaste.

Básicamente, probablemente no hay mucho que puedas o debas hacer al respecto. Pero en general, para mantener seguro su enrutador, debe:

  • Verifique que su enrutador no tenga ningún puerto de entrada abierto (lo que puede hacer usando el sitio web de GRC Shield's Up "Todos los puertos de servicio" escanear)
  • Mantenga actualizado el firmware de su enrutador consultando el sitio web del fabricante para las actualizaciones
  • Asegúrese de cambiar la contraseña de la interfaz de administración predeterminada a algo más seguro
  • Si se trata de un enrutador inalámbrico, asegúrese de que la conexión inalámbrica esté protegida con WPA2-PSK y una clave segura; también asegúrese de que WPS esté deshabilitado
  • Si hay una opción para habilitar la administración remota, desactívela.

En cuanto a los mensajes de "Autenticación exitosa" en su registro, ¿podría simplemente iniciar sesión en la interfaz administrativa para verificar el registro?

    
respondido por el tlng05 16.03.2015 - 02:19
fuente

Lea otras preguntas en las etiquetas